Resumen De la entrevista Realizada a;
Aprendiz:
Daniel
Andana
tercer
trimestre.
Especialización
en seguridad.
Cuestionario.
- ¿Que es la seguridad informática y de la información?
R/.
la seguridad informática y de la información son cosas muy
diferentes. La seguridad informática es la parte del área de la
informática que se encarga de toda la protección o todo lo que
tiene que ver con proteger la estructura computacional y todo lo
relacionado en la informática ya sea en una empresa o un ambiente
informático, la seguridad de la información son todos aquellos
métodos y medidas preventivas, todos los estándares necesarios
aplicados para proteger la información ya sea de una organización o
de cualquier área, que busca la seguridad de la información?? Busca
mantener los 3 pilares de la información que son la
confidencialidad, la disponibilidad y la integridad de la información
mientras que la seguridad informática se encarga mas de los factores
físicos los factores de software, y cosas mas tangibles.
2.¿Que
es y cual es el alcance de una auditoria informática?
R/.
La auditoría informática es simplemente un análisis de todos los
riesgos que pueden determinarse que pueden afectar un sistema de
información este análisis es llevado acabo por profesionales en la
materia gente que se especializa en el tema tiene a su disposición
herramientas muy especializadas y métodos de trabajos muy bien
definidos aplican a su vez estándares internacionales, lo que se
trata con esto es detectar de una forma muy estandarizada todos los
recursos y los flujos de información dentro de la organización,
mirar que información es crítica para la organización a la cual se
esta analizando, identificar que es lo que necesita mirar que
información esta duplicada cual es el costo de mantener esta
información, cual es el valor de la información y mirar esta
información de que manera puede o no puede ser vulnerado o no
vulnerada es más que todo estudiar todos los mecanismos de control
que se ven implementados en una organización hay que mirar si son
adecuados si cumplen ciertos objetivos o estrategias si se están
realizando los cambios necesarios para permitir un mejor desarrollo
de la seguridad, todo el alcance como tal viene determinado por la
necesidad de la organización, esta especifica hasta que punto el
auditor puede entrometerse dentro de los asuntos de la organización
como tal a verificar todo su sistema informático.
3.¿Cuales
son las consecuencias de la fuga de la información?
R/.
Hay que tener en cuanta que la información hoy por hoy se denomina
como el activo mas valioso de una organización, digamos que en este
punto cada organización es la que tiene es definir si a mí se me
fuga cierta información
que tan perjudicial puede ser para mi núcleo de negocio, hoy por hoy
todas las empresas están informatizadas la mayoría tienen su
sistema de información montado en la nube, tiene en Colombia
la cultura de la protección de la información no esta muy arraigada
en la mente de los empresarios sin embargo los altercados que se han
tenido por la fuga de información nos han hecho reflexionar mas
sobre esa cultura de la no protección de la información hoy por hoy
las organizaciones se están dando cuenta, en cual la fuga de
información tiene como consecuencia la perdida de mucho dinero, que
si son publicados tiene sencillamente una perdida de dinero un
impacto muy negativo sobre las finanzas, sobre el desarrollo y en si
sobre cualquier objetivo a largo o mediano plazo que tenga la
organización una fuga de esta será sencillamente catastrófica, se
han registrado caso en lo que se ve lo que es el espionaje
industrial, lo que es contratar personas para que entren a cierta
organización y se integre con toda la gente y extraiga toda la
información valiosa en ese instante y pueda ser usada contra la
competencia de esa organización, esto es un tema muy delicado a
nivel colombiano no esta muy penalizado pero a nivel internacional
son cosas que están muy arraigada es en la unión europea, los
organismos de control internacionales están haciendo un esfuerzo
inmenso por controlar todo este tipo de fuga y de ataques información
que lo único que hacen es ameritar la industria en general.
4.¿Cuales
son los beneficios de concientización
y capacitación de los usuarios sobre seguridad informática?
R/.
como se dijo antes la seguridad informática comprende un conjunto
tal vez sin fin de elementos en una organización, la fuga de
información puede ser completamente catastrófica para una
organización puede sencillamente frenarla en su desarrollo personal
y en muchos casos destruirla, el eslabón mas débil se ha comprobado
que es el humano, se ha comprobado que por mas seguridad que usted
tenga de hardware y software, por mas inversión que se hagan a nivel
de antivirus y auditorías, si nosotros no capacitamos todo nuestro
recurso humano, toda la inversión va a hacer en vano, es muy fácil
por medio de ingeniera social hacernos amigos de las personas cuyo
rol en la organización es el mantenimiento la protección y tal vez
la manipulación de la información es muy sensible para la
organización, en esos términos es deber de la organización
hacerles ver a los usuarios que ellos son pieza fundamental en la
protección de la información, cosas tal fácil como no hablar con
los extraños sobre el manejo sensible de la información que ellos
tengan sobre al acceso a la información que ellos tengan, la
revisión de correos sospechosos, la descarga de archivos
sospechosos, son cosas muy sencillas que a la larga se han visto en
casos reales son por donde mas atacan a nuestro sistema de
información por donde se es mas vulnerable en la organización, hay
que trabajar mas en eso, digamos en Colombia la gente es muy
tranquila en ese tema sencillamente comienzan a hablar de mas, y
ahora con la expansión de las redes sociales los mas populares en
facebook y twitter entonces la gente por andar conectada lo único
que hacen es twittearlo y darse a conocer a todo el mundo, una
persona que sepa mucho en la busca de vulnerabilidades y la
explotación de las mismas que lleve un seguimiento considerado de
una organización que hable de mas puede tener la entrada segura e
indetectable de esa organización, la invitación es entonces no
dejar de lado la organización humana sino hacerlos concientizar de
que ellos son parte fundamental en esa cadena de la seguridad de la
información.
5.¿Que
es un SGSI?
R/.
es un conjunto de políticas de administración de la información,
la siglas significas sistema de gestión de seguridad de la
información, el contexto principal de la seguridad de la información
es tener un diseño y implementarlo y mantener un conjunto de
procesos para poder gestionar el acceso a la información en parte a
una organización, buscando mantener los tres pilares de la
información que son la confidencialidad, la integridad y
confiabilidad de los activos minimizando lo mas posible todos los
riesgos que puedan ocurrir, este sistema lo que trata es de ser muy
eficiente, tratar de adaptarse de ser muy eficiente de adaptarse lo
mas posible a los cambios mediante un cambio llamado PDCA:
planificar, hacer, controlar y actuar este ciclo aunque es una teoría
administrativa es aplicado a muchos de los contextos o de las áreas
de estudio a nivel actual, pero este ciclo es aplicado especialmente
en este tipo de sistemas por que permite que el sistema no se rezaga
en cuando al avance de la informática como tal, día a día hay mas
avances tecnológicos pero junto con esto vienen una serie de peligro
de vulnerabilidades, de posibles amenazas por lo cual en cada
instante hay que ir planeando como se va a instalar este sistema de
información hay que ejecutar este sistema de información hay que
ejecutar dicho sistema de información, hay que verificar que los
procedimientos se estén cumpliendo de la manera correcta y en caso
de que haya alguna anomalía entonces hay que hacer las correcciones
del caso.
6.¿Que
nos puede contar de la ISO 27000?
R/.
la ISO 27000 son una serie de normas llamadas ISO IEC/27000 son unos
estándares de seguridad completamente públicos esto fue creado por
la organización internacional para la estandarización ISO y la
comisión electrónica internacional, esta serie es una conexión
estándar recomendada para las mejores practicas de la seguridad de
la información los que intenta es desarrollar, implementar y
mantener ciertas especificaciones para los sistemas de gestión de la
seguridad de la información, esto es una familia que comprende la
27000 como tal que son simplemente un vocabulario la 27001 que es
como tal una certificación que pueden obtener las organizaciones
para la implementación de un sistemas de seguridad de la información
es una norma muy importante ya que toma en cuenta todos los riesgos,
todo lo que pueda afectar un sistema de información, esta familia es
muy conocida a nivel de sistema de información esta familia es muy
conocida a nivel de sistema de información es muy implementada en
entornos de data center se enfoca mas en simplemente almacenar la
información en tenerla disponible para el que debe ser, y que esta
información tras de que siempre tiene que estar disponible no puede
ser vulnerada y su integridad tiene que ser mantenida, en muchas
ocasiones aquellas organizaciones en las cuales tiene ese servicio de
data center tiene como bandeja de entrada tiene su ISO 27001.
No hay comentarios:
Publicar un comentario